VPN Gateway:IPsec-VPN接続をデュアルトンネルモードで使用して2つのVPC間の通信を有効にする

シナリオ

この例では、次のシナリオが使用されます。企業がドイツ (フランクフルト) リージョンに2つのVPC (VPC1とVPC2) を持っています。 ECS (Elastic Compute Service) インスタンスはVPCにデプロイされ、サービスはECSインスタンスにデプロイされます。 ビジネス開発により、VPC1とVPC2のサービスは互いに通信する必要があります。

ネットワークセキュリティを確保するために、企業はVPNゲートウェイを使用してVPC1とVPC2の間にIPsec-VPN接続を確立することを決定します。 このようにして、VPC間のデータ伝送は暗号化され、クラウドリソースは安全な接続を介して相互に通信できます。

CIDR ブロック

VPC CIDR ブロック

BGP設定

次のセクションでは、静的ルートが設定されている場合、またはBGP動的ルーティングが設定されている場合に、IPsec-VPNを使用してVPC間の通信を有効にする方法について説明します。 次のBGP設定が使用されます。

準備

• 以下のリージョンとゾーンのみがデュアルトンネルモードをサポートしています。

  サポートされているリージョンとゾーン

  リージョン	Zone
  中国 (杭州)	ゾーンK、ゾーンJ、ゾーンI、ゾーンH、ゾーンG
  中国 (上海)	ゾーンK、ゾーンL、ゾーンM、ゾーンN、ゾーンB、ゾーンD、ゾーンE、ゾーンF、ゾーンG
  中国 (南京 - ローカルリージョン)	ゾーン A
  中国 (深セン)	ゾーンA、ゾーンE、ゾーンD、ゾーンF
  中国 (河源)	ゾーン A およびゾーン B
  中国 (広州)	ゾーン A およびゾーン B
  中国 (青島)	ゾーン B およびゾーン C
  中国 (北京)	ゾーンF、ゾーンE、ゾーンH、ゾーンG、ゾーンA、ゾーンC、ゾーンJ、ゾーンI、ゾーンL、ゾーンK
  中国 (張家口)	ゾーンA、ゾーンB、ゾーンC
  中国 (フフホト)	ゾーン A およびゾーン B
  中国 (ウランチャブ)	ゾーンA、ゾーンB、ゾーンC
  中国 (成都)	ゾーン A およびゾーン B
  中国 (香港)	ゾーンB、ゾーンC、ゾーンD
  シンガポール	ゾーンA、ゾーンB、ゾーンC
  タイ (バンコク)	ゾーン A
  日本 (東京)	ゾーンA、ゾーンB、ゾーンC
  韓国 (ソウル)	ゾーン A
  フィリピン (マニラ)	ゾーン A
  インドネシア (ジャカルタ)	ゾーンA、ゾーンB、ゾーンC
  マレーシア (クアラルンプール)	ゾーン A およびゾーン B
  インド (ムンバイ) サービス終了	ゾーン A およびゾーン B
  イギリス (ロンドン)	ゾーン A およびゾーン B
  ドイツ (フランクフルト)	ゾーンA、ゾーンB、ゾーンC
  米国 (シリコンバレー)	ゾーン A およびゾーン B
  米国 (バージニア)	ゾーン A およびゾーン B
  オーストラリア (シドニー) (サービス終了)	ゾーンB
  サウジアラビア (リヤド - パートナーリージョン)	ゾーン A およびゾーン B
  UAE (ドバイ)	ゾーン A

• VPC1とVPC2はドイツ (フランクフルト) リージョンで作成されています。 ECSインスタンスはVPCにデプロイされています。 サービスはECSインスタンスにデプロイされます。 詳細については、「」をご参照ください。IPv4 CIDRブロックを持つVPCの作成.

• VPCのECSインスタンスに適用されるセキュリティグループルールを理解しています。 セキュリティグループルールでECSインスタンスが相互に通信できるようにしてください。 詳細については、「」をご参照ください。セキュリティグループルールの表示とセキュリティグループルールの追加.

手順

ステップ1: VPNゲートウェイの作成

1. VPN Gatewayコンソール.

2. 上部のナビゲーションバーで、VPNゲートウェイを作成するリージョンを選択します。

   この例では、ドイツ (フランクフルト) が選択されています。

   説明

   VPN gatewayは、VPN gatewayに関連付けるVPCと同じリージョンに属している必要があります。

3. VPN Gatewayページをクリックします。VPN Gateway の作成.

4. 購入ページで、次のパラメーターを設定し、今すぐ購入、そして支払いを完了します。

   パラメーター	説明
   名前	VPNゲートウェイの名前を入力します。 この例では、VPN Gateway 1が使用されています。
   リソースグループ	VPN gatewayが属するリソースグループを選択します。 この例では、デフォルトのリソースグループが選択されています。 このパラメーターを空のままにすると、VPN gatewayはデフォルトのリソースグループに属します。
   リージョン	VPNゲートウェイをデプロイするリージョンを選択します。 この例では、ドイツ (フランクフルト) が選択されています。
   ゲートウェイタイプ	ゲートウェイタイプを選択します。 この例では、[標準] が選択されています。
   ネットワークタイプ	VPNゲートウェイのネットワークタイプを選択します。 この例では、[公開] が選択されています。
   トンネル	デフォルトでは、デュアルトンネルが選択されています。
   [VPC]	VPNゲートウェイを関連付けるVPCを選択します。 この例では、VPC1が選択されています。
   VSwitch	VPC1からvSwitchを選択します。 シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。 デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。 IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。 説明 システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。 VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。
   vSwitch 2	VPC1から別のvSwitchを選択します。 関連するVPCの異なるゾーンに2つのvSwitchを指定して、IPsec-VPN接続のゾーン間でディザスタリカバリを実装します。 1つのゾーンのみをサポートするリージョンの場合、ゾーン間のディザスタリカバリはサポートされません。 IPsec-VPN接続の高可用性を実装するには、ゾーンに2つのvSwitchを指定することを推奨します。 最初のものと同じvSwitchを選択することもできます。
   最大帯域幅	VPN gatewayの最大帯域幅値を指定します。 単位は、Mbit/s です。
   トラフィック	VPNゲートウェイの計測方法を選択します。 デフォルト値: Pay-by-data-transfer 詳細については、「課金」をご参照ください。
   IPsec-VPN	IPsec-VPNを有効にするかどうかを指定します。 この例では、[有効化] が選択されています。
   SSL-VPN	SSL-VPNを有効にするかどうかを指定します。 この例では、[無効] が選択されています。
   有効期間	課金サイクルを選択します。 デフォルト値：時間単位
   サービスにリンクされたロール	[サービスにリンクされたロールの作成] をクリックします。 サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。 VPN gatewayは、他のクラウドリソースにアクセスするためにこの役割を引き受けます。 詳細については、「AliyunServiceRoleForVpn」をご参照ください。 [作成済み] が表示されている場合、サービスにリンクされたロールが作成され、再度作成する必要はありません。

5. VPNゲートウェイを作成した後、VPNゲートウェイページに移動します。

   VPNゲートウェイを作成すると、準備中 状態になります。 1〜5分後、VPN gatewayは 正常 状態に変わります。 VPNゲートウェイが 正常 状態に変わると、VPNゲートウェイは使用できる状態になります。

6. ドイツ (フランクフルト) リージョンにVPN gateway 2という名前のVPNゲートウェイを作成するには、ステップ1のサブステップ3サブステップ4を繰り返します。 VPC2をVPN Gateway 2に関連付けます。 その他の設定は、VPN Gateway 2のVPN Gateway 1と同じにします。

   この例で作成されるVPN Gatewayの情報を次の表に示します。

   VPNゲートウェイ	[VPC]	VPNゲートウェイIPアドレス
   VPN Gateway 1	VPC1	IPsec-VPN接続のIPアドレス1: 47.XX. XX.87 IPsec-VPN接続2のIPアドレス: 47.XX. XX.78
   VPN Gateway 2	VPC2	IPsec-VPN接続のIPアドレス1: 47.XX. XX.207 IPsec-VPN接続2のIPアドレス: 47.XX. XX.15

ステップ2: カスタマーゲートウェイの作成

1. 左側のナビゲーションウィンドウで、相互接続 > VPN > カスタマーゲートウェイ.

2. 上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。

   説明

   接続するカスタマーゲートウェイとVPNゲートウェイは、同じリージョンにデプロイする必要があります。

3. カスタマーゲートウェイページをクリックします。カスタマーゲートウェイの作成.

4. カスタマーゲートウェイの作成パネル、次のパラメータを設定し、OK.

   VPNトンネルを確立するには、ドイツ (フランクフルト) リージョンに4つのカスタマーゲートウェイを作成する必要があります。 次の表に、設定する必要があるパラメーターのみを示します。 他のパラメータにデフォルト値を使用するか、空のままにすることができます。

   パラメーター	説明	ドイツ (フランクフルト)	ドイツ (フランクフルト)	ドイツ (フランクフルト)	ドイツ (フランクフルト)
   名前	カスタマーゲートウェイの名前を入力します。	Customer Gateway 1の場合、VPN1-Customer1が使用されます。	Customer Gateway 2では、VPN1-Customer2が使用されます。	カスタマーゲートウェイ3の場合、VPN2-Customer1が使用されます。	カスタマーゲートウェイ4の場合、VPN2-Customer2が使用されます。
   IPアドレス	ピアゲートウェイのIPアドレスを入力します。 説明 この例では、VPNゲートウェイ1とVPNゲートウェイ2は、互いのピアゲートウェイとして機能します。	この例では、VPNゲートウェイ2上のIPsec-VPN接続1のIPアドレスが使用されます。これは47.XX. XX.207です。	この例では、VPN Gateway 2上のIPsec-VPN Connection 2のIPアドレスが使用されます。これは47.XX. XX.15です。	この例では、VPN Gateway 1上のIPsec-VPN Connection 1のIPアドレスが使用されます。これは47.XX. XX.87です。	この例では、VPNゲートウェイ1上のIPsec-VPN接続2のIPアドレスが使用されます。これは47.XX. XX.78です。
   ASN	ピアVPNゲートウェイのASNを入力します。	この例では、VPNゲートウェイ2のアクティブトンネルのBGP ASN 65500が使用されます。	この例では、VPN Gateway 2のスタンバイトンネルのBGP ASN 65500が使用されます。	この例では、VPNゲートウェイ1のアクティブトンネルのBGP ASN 65530が使用されます。	この例では、VPN Gateway 1のスタンバイトンネルのBGP ASN 65530が使用されます。

ステップ3: IPsec-VPN接続の作成

VPNゲートウェイとカスタマーゲートウェイを作成した後、IPsec-VPN接続を作成してVPNゲートウェイをカスタマーゲートウェイに接続できます。

1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.

2. 上部のナビゲーションバーで、IPsec-VPN接続が存在するリージョンを選択します。

3. IPsec 接続ページをクリックします。IPsec-VPN接続の作成.

4. VPN 接続の作成ページで、以下のパラメーターを設定し、OK.

   ドイツ (フランクフルト) リージョンで2つのIPsec-VPN接続を作成する必要があります。

   パラメーター	説明	IPsec-VPN接続1	IPsec-VPN接続2
   名前	IPsec-VPN接続の名前を入力します。	この例では、IPsec-VPN接続1が使用されています。	この例では、IPsec − VPN接続2が使用される。
   リソースグループ	VPN gatewayが属するリソースグループを選択します。 このパラメーターを空のままにすると、すべてのリソースグループのVPNゲートウェイが表示されます。	この例では、デフォルトのリソースグループが選択されています。	この例では、デフォルトのリソースグループが選択されています。
   リソースの関連付け	IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。	この例では、VPN Gatewayが選択されています。	この例では、VPN Gatewayが選択されています。
   VPNゲートウェイ	IPsec-VPN接続に関連付けるVPNゲートウェイを選択します。	この例では、VPN Gateway 1が選択されています。	この例では、VPN Gateway 2が選択されています。
   ルーティングモード	ルーティングモードを選択します。 説明 IPsec-VPN接続にBGP動的ルーティングを使用する場合は、[宛先ルーティングモード] を選択することを推奨します。	この例では、宛先ルーティングモードが選択されています。	この例では、宛先ルーティングモードが選択されています。
   今すぐ有効化有効	IPsec-VPN接続の設定を直ちに適用するかどうかを選択します。 有効な値： IPsec-VPN接続を作成するときに [有効な即時] パラメーターを はい に設定すると、設定が完了した直後にネゴシエーションが開始されます。 IPsec-VPN接続を作成するときに [有効な即時] パラメーターを いいえ に設定すると、インバウンドトラフィックが検出されたときにネゴシエーションが開始されます。 説明 VPN Gatewayを使用して2つのVPC間にIPsec-VPN接続を作成する場合は、いずれかのIPsec-VPN接続に対して [有効な即時] パラメーターを [はい] に設定することを推奨します。 このように、IPsecネゴシエーションはすぐに開始できます。	この例では、はいが選択されています。	この例では、いいえ が選択されています。
   BGPの有効化	IPsec-VPN接続にBGPルーティングを使用する場合は、[BGPの有効化] をオンにします。 デフォルトでは、Enable BGPはオフになっています。	この例では、Enable BGPがオフになっています。 IPsec-VPN接続の作成後に、BGP動的ルーティングを設定できます。	この例では、Enable BGPがオフになっています。 IPsec-VPN接続の作成後に、BGP動的ルーティングを設定できます。
   トンネル1	トンネル1のVPN設定を追加します。 デフォルトでは、トンネル1はアクティブトンネルとして機能し、トンネル2はスタンバイトンネルとして機能します。 この設定は変更できません。
   カスタマーゲートウェイ	アクティブなトンネルに関連付けるカスタマーゲートウェイを選択します。	この例では、VPN1-Customer1が選択されています。	この例では、VPN2-Customer1が選択されています。
   事前共有鍵	アクティブなトンネルの事前共有キーを入力して、IDを検証します。 キーの長さは1 ~ 100文字である必要があり、数字、文字、および次の文字を含めることができます。~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ? 。 事前共有キーを指定しない場合、システムは事前共有キーとしてランダムな16文字の文字列を生成します。 重要 IPsec-VPN接続とピアゲートウェイデバイスは、同じ事前共有キーを使用する必要があります。 そうしないと、システムはIPsec-VPN接続を確立できません。	この例では、fddsFF123 **** が使用されます。	この例では、fddsFF123 **** が使用されます。
   暗号化設定	IKE、IPsec、デッドピア検出 (DPD) 、およびNATトラバーサル機能のパラメーターを設定します。	この例では、デフォルト値が使用されます。	この例では、デフォルト値が使用されます。
   トンネル2	トンネル2のVPN設定を追加します。
   カスタマーゲートウェイ	スタンバイトンネルに関連付けるカスタマーゲートウェイを選択します。	この例では、VPN1-Customer2が選択されています。	この例では、VPN2-Customer2が選択されています。
   事前共有鍵	スタンバイトンネルの事前共有キーを入力して、IDを検証します。	この例では、fddsFF456 **** が使用されています。	この例では、fddsFF456 **** が使用されています。
   暗号化設定	IKE、IPsec、DPD、およびNATトラバーサル機能のパラメーターを設定します。	この例では、デフォルト値が使用されます。	この例では、デフォルト値が使用されます。

5. 作成済みメッセージ, クリックOK.

   次の表に、VPC、VPNゲートウェイ、IPsec-VPN接続、およびカスタマーゲートウェイの間の相関関係を示します。

   [VPC]	VPNゲートウェイ	IPsec-VPN接続	トンネル	トンネルに関連付けられたカスタマーゲートウェイ
   VPC1	VPN Gateway 1	IPsec-VPN 接続 1	アクティブトンネル	VPN1-Customer1
   			スタンバイトンネル	VPN1-Customer2
   VPC2	VPN Gateway 2	IPsec-VPN接続2	アクティブトンネル	VPN2-Customer1
   			スタンバイトンネル	VPN2-Customer2

ステップ4: VPNゲートウェイにルートを追加する

次のセクションでは、デュアルトンネルモードでIPsec-VPN接続の静的ルートとBGP動的ルーティングを設定する方法について説明します。 1つのルーティングモードのみを選択する必要があります。

静的ルートの追加

この例では、目的地ベースのルートが使用されます。

1. 左側のナビゲーションウィンドウで、相互接続 > VPN > VPN Gateway.

2. 上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。

3. [VPN Gateway] ページで、管理するVPN gatewayを見つけ、そのIDをクリックします。

4. 宛先ベースルーティングタブをクリックします。ルートエントリの追加.

5. ルートエントリの追加パネル、次のパラメータを設定し、OK.

   VPN Gateway 1およびVPN Gateway 2にルートを追加する必要があります。 下表に、各パラメーターを説明します。

   パラメーター	説明	VPNゲートウェイ1	VPNゲートウェイ2
   宛先CIDRブロック	ルートの宛先CIDRブロックを入力します。	この例では、VPC2のプライベートCIDRブロック192.168.0.0/16が使用されています。	この例では、VPC1のプライベートCIDRブロック10.0.0.0/16が使用されています。
   ネクストホップタイプ	ネクストホップタイプを選択します。	この例では、IPsec接続が選択されています。	この例では、IPsec接続が選択されています。
   次ホップ	次のホップを選択します。	この例では、IPsec − VPN接続1が選択される。	この例では、IPsec − VPN接続2が選択される。
   VPCへの広告	VPNゲートウェイに関連付けられているVPCへのルートをアドバタイズするかどうかを指定します。	この例では、はいが選択されています。	この例では、はいが選択されています。

BGP動的ルーティングの設定

1. IPsec-VPN接続のBGP動的ルーティングを設定します。

   1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.

   2. [IPsec 接続] ページで、IPsec-VPN接続を見つけ、そのIDをクリックします。

   3. IPsec 接続 セクションで、[BGPの有効化] の横にある [編集] をクリックします。 BGP 設定 ダイアログボックスで、次のパラメーターを設定し、OK をクリックします。

      IPsec-VPN接続1およびIPsec-VPN接続2のBGPを設定します。 下表に、各パラメーターを説明します。

      パラメーター	説明	IPsec-VPN接続1	IPsec-VPN接続2
      ローカル ASN	IPsec-VPN接続のASNを入力します。	この例では、65530が使用されます。	この例では、65500が使用されます。
      トンネル1	アクティブなトンネルのBGP動的ルーティングを設定します。	IPsec-VPN接続1のアクティブトンネルのBGP動的ルーティングを設定します。	IPsec-VPN接続2のアクティブトンネルのBGP動的ルーティングを設定します。
      トンネル CIDR ブロック	IPsecトンネルで使用されるCIDRブロックを入力します。 CIDRブロックは169.254.0.0/16に収まる必要があります。 CIDRブロックのサブネットマスクの長さは30ビットである必要があります。 説明 VPNゲートウェイでは、各トンネルのCIDRブロックは一意である必要があります。	この例では、169.254.10.0/30が使用されます。	この例では、169.254.10.0/30が使用されます。
      ローカル BGP IP アドレス	IPsec-VPN接続のBGP IPアドレスを入力します。 IPアドレスは、IPsecトンネルのCIDRブロックに該当する必要があります。	この例では、169.254.10.1が使用されます。	この例では、169.254.10.2が使用されます。
      トンネル2	スタンバイトンネルのBGP動的ルーティングを設定します。	IPsec-VPN接続1のスタンバイトンネルのBGP動的ルーティングを設定します。	IPsec-VPN接続2のスタンバイトンネルのBGP動的ルーティングを設定します。
      トンネル CIDR ブロック	IPsecトンネルで使用されるCIDRブロックを入力します。 CIDRブロックは169.254.0.0/16に収まる必要があります。 CIDRブロックのサブネットマスクの長さは30ビットである必要があります。 説明 VPNゲートウェイでは、各トンネルのCIDRブロックは一意である必要があります。	この例では、169.254.20.0/30が使用されます。	この例では、169.254.20.0/30が使用されます。
      ローカル BGP IP アドレス	IPsec-VPN接続のBGP IPアドレスを入力します。 IPアドレスは、IPsecトンネルのCIDRブロックに該当する必要があります。	この例では、169.254.20.1が使用されます。	この例では、169.254.20.2が使用されます。

2. 次の手順を実行して、VPN Gateway 1およびVPN Gateway 2の自動ルート広告を有効にします。

   1. 左側のナビゲーションウィンドウで、相互接続 > VPN > VPN Gateway.

   2. VPN GatewayページでVPNゲートウェイを見つけ、ポインタをアイコンをクリックし、自動 BGP 伝播を有効にするで、アクション列を作成します。

   3. 自動 BGP 伝播を有効にするメッセージ, クリックOK.

手順 5：ネットワーク接続のテスト

上記の手順を完了すると、VPC1とVPC2は互いに通信できます。 次のセクションでは、VPC1とVPC2間の接続をテストし、デュアルトンネルモードの高可用性をテストする方法について説明します。

1. ネットワーク接続をテストします。

   1. VPC1でECS1にログインします。

      ECSインスタンスへのログイン方法の詳細については、「接続方法の概要」をご参照ください。

   2. を実行します。Run thepingコマンドを実行して、VPC2のECS3のIPアドレスをpingし、接続をテストします。

      ping <IP address of ECS3>

      次の図に示すように、エコー応答パケットを受信できる場合、VPCは相互に通信できます。

      

2. 高可用性をテストします。

   1. VPC1でECS1にログインします。

      ECSインスタンスへのログイン方法の詳細については、「接続方法の概要」をご参照ください。

   2. 次のコマンドを実行して、ECS1からECS3にパケットを送信し続けます。

      ping <IP address of ECS3> -c 10000

   3. IPsec-VPN接続1のアクティブなトンネルを中断します。

      この例では、アクティブトンネルは、IPsec − VPN接続1のアクティブトンネルの事前共有鍵を変更することによって中断される。 アクティブトンネルの両端が異なる事前共有鍵を使用する場合、アクティブトンネルは中断される。

   4. ECS1のトラフィックが一時的に中断されてから復元されることを確認できます。これは、アクティブなトンネルが中断されたときにスタンバイトンネルが引き継ぐことを示しています。

      

      説明

      データセンターがデュアルトンネルモードでIPsec-VPN接続を使用してVPCと通信するシナリオでは、アクティブなトンネルが中断された後、VPCからデータセンターへのトラフィックは自動的にスタンバイトンネルに切り替えられます。 データセンターからVPCへのトラフィックは、データセンターのルーティング設定によって異なります。 データセンターがスタンバイトンネルへのトラフィックの切り替えをサポートしていない場合は、アクティブなトンネルをモニタリングするようにCloudMonitorを設定できます。 アクティブなトンネルが中断されたことを検出した後、データセンターのルーティング設定を手動で変更して、トラフィックをスタンバイトンネルに切り替えることができます。 詳細については、「IPsec-VPN接続の監視」をご参照ください。